Perícia Forense Computacional

by arturer in Cybersegurança

Browse By

Calendar

maio 2020
S T Q Q S S D
 123
45678910
11121314151617
18192021222324
25262728293031

A computação forense é a prática de obter informação contida em meio eletrônico, como sistemas de computação, discos rígidos e discos óticos, geralmente para obter evidências a serem usadas por para procedimentos legais. Infelizmente muitas das técnicas avançadas por investigadores forenses para procedimentos legais também podem ser empregadas por atacantes para descobrir informação sensível. A análise forense geralmente envolve a inspeção física dos componentes de um computador, algumas vezes a nível microscópico, mas também pode envolver a inspeção eletrônica de partes de um computador (GOODRICH e TAMASSIA., 2010, p. 93).

1. Procedimentos Forenses

Um princípio importante de computação forense é estabelecer, manter e documentar uma cadeia de custódia do hardware do computador que está sendo analisado, de modo que possa ser mostrado que os itens coletados permanecem inalterados pelo processo de análise forense (GOODRICH e TAMASSIA., 2010, p. 93).

2. Coleta

Realizar a coleta de todas as fontes possíveis que contenham evidências digitais ou que possua relação com a investigação. É uma etapa que deve ser realizada o mais rápido e de maneira que preserve a integridade do material coletado. Para KENT et al. (2006), a etapa de coleta dever ser subdividida em identificação, aquisição (apreensão), verificação de integridade e preservação.

Inicia-se, então com o reconhecimento de todas fontes possíveis de evidências, computadores pessoais, servidores, elementos de rede, câmeras digitais, celulares, dispositivos de armazenamento, dentre outros. E todos devem ser identificados de maneira precisa.

Seguidamente vem a apreensão que deve ser baseada por procedimentos e técnicas que garantam a integridade dos dados e das informações (KENT et al, 2006). Para isso devem ser consideradas as características de cada dispositivo, como a volatilidade dos dados digitais, a fragilidade, facilidade de cópia e sensibilidade ao tempo de vida e de uso. O perito deverá tirar uma cópia para poder trabalhar, ou seja, não manipular a fonte original. Para isso deverão der utilizadas técnicas, equipamentos e softwares específicos que realizem não só a cópia fidedigna, mas que também preservem e mantenham inalterada a fonte original dos dados. 

Depois de identificadas e apreendidas é muito importante a verificação de integridade e preservação das fontes. O material original deverá ser preservado, lacrado e acondicionado em lugar apropriado.

3. Extração

Extrair é recuperar todos os dados e informações contidas nas cópias que sejam úteis para a investigação. O objetivo nesta etapa é identificar e recuperar arquivos que possam conter informações relevantes para a investigação.

Será necessário a utilização de ferramentas e técnicas que auxiliem a peneirar e identificas os dados que sejam pertinente à investigação. Utilizando padrões de busca de textos, realizando a filtragem por determinados tipos de arquivos, indexação de dados e exclusão de arquivos irrelevantes.

4. Análise

Agora é examinar as informações extraídas, com uma base metódica para chegar a conclusões adequadas à informações disponíveis. Identificação de pessoas, locais e eventos e a correlação entre esses elementos e o fato investigado.

Nesta etapa provavelmente existirá senhas, criptografia e esteganografia o que dificulta a perícia. Para isso existem métodos forenses, procedimentos, técnicas e ferramentas.

5. Apresentação

Esta é a etapa final do processo forense e consiste em documentar as evidências digitais encontradas e apresentá-las às autoridades competentes. Explicitando os métodos de coleta e extração, análise dos fatos e o valor técnico do conteúdo analisado (Kente et al., 2006), através de um laudo técnico pericial. Apresentando todas as ações realizadas e os resultados obtidos nas etapas anteriores, provando ou não a ocorrência inicialmente investigada. 

LAUDO TÉCNICO PERICIAL – PERÍCIA FORENSE COMPUTACIONAL

SEÇÃO 1: PREÂMBULO – Identificação do laudo;

SEÇÃO 2 – HISTÓRICO – Fatos anteriores de interesse ao laudo; Quesitos concisos e objetivos

SEÇÃO 3 – MATERIAL – Descrição do material examinado

SEÇÃO 4 – OBJETIVO – Principais objetivos da perícia

SEÇÃO 5 – CONSIDERAÇÕES TÉCNICAS / PERICIAIS – Conceitos e informações que podem ser úteis para o entendimento do laudo.

SEÇÃO 6 – EXAMES – Parte descritica e experimental do laudo

SEÇÃO 7 – RESPOSTAS AOS QUESITOS/CONCLUSÕES – Resumo objetivo dos resultados obtidos

Seções do Laudo Técnico PericialFonte: Adaptado de Eleutério e Machado (2011))